注意：

• 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶，請參閱開始使用 Oracle Cloud Infrastructure Free Tier 。
• 它會使用 Oracle Cloud Infrastructure 證明資料、租用戶及區間的範例值。完成實驗室時，請將這些值替代為您雲端環境特定的值。

使用 Oracle Cloud Infrastructure Network Firewall 保護您的 Oracle Cloud VMware Solution 工作負載

簡介

本文件涵蓋如何使用 Oracle Cloud Infrastructure (OCI) Network Firewall，保護在 Oracle Cloud VMware Solution 中執行的工作負載。Oracle Cloud VMware Solution 可讓您建立及管理 OCI 中的 VMware 軟體定義資料中心 (SDDC)。

OCI 網路防火牆可以部署為分散式模型或傳輸模型。在本教學課程中，我們將部署傳輸模型，其中網路防火牆位於支點 VCN 中的 Hub VCN、Oracle Cloud VMware Solution SDDC。使用 OCI 網路的 VCN 內建路由功能，您可以透過 Hub VCN 中執行的網路防火牆檢查流量。

注意：即使本教學課程顯示 OCI 網路防火牆，大多數概念也應適用於任何其他第三方設備，例如 Fortinet、Palo Alto Networks、Cisco、Check Point 等。客戶必須與特定廠商 / 合作夥伴合作，以確保該廠商支援。

使用案例

OCI Intra VCN 路由功能可讓我們簡化設定路由，以支援 VCN 中的 OCI 工作負載流量的設定，您也可以使用防火牆來檢查 / 保護您的流量。我們將使用 VCN 中的輸入路由功能，包括：

• VCN 內路由 - 您可以使用定義的路由變更 VCN 內流量的直接路由。您將可以定義子網路層次的路由。

• 網際網路閘道 / 網路位址轉譯閘道輸入路由 - 這可讓您定義內送公用流量至 VCN 對使用者選取之下一個躍點的路由。

• 增強軟體閘道傳入路由功能 - 這可讓您定義軟體閘道的路由，將流量從 OCI 服務遞送至 VCN 內部的目的地。

在本教學課程中，我們將驗證不同的流量情況，以及 OCI Network Firewall 支援的主要功能：

• OCI 與 NSX Overlay 之間的北美流量檢查：從 OCI 原生運算 VM 到 Oracle Cloud VMware Solution NSX Workload VM 的安全流量。

• NSX 覆疊與公用網際網路之間的快速流量檢查：從 Oracle Cloud VMware Solution NSX 工作負載至網際網路公開流量的安全流量。

• OCI 子網路和 VLAN 中的東部流量檢查：從 OCI 原生運算 VM 到 Oracle Cloud VMware Solution vSphere (由 OCI VLAN 代管) 的安全流量。

• OCI 子網路內的西部流量檢查：將 OCI 資料庫 VM 的流量安全從 OCI 資料庫 VM 到 Oracle Cloud VMware Solution SDDC ESXi 主機，此主機由 OCI 子網路代管。

• 驗證網路防火牆安全功能，包括入侵預防、入侵偵測、URL 篩選和 SSL 輸入檢查。

注意：您無法使用「傳輸」模型檢查 NSX 工作負載 VM 中的東部流量。如果您要檢查該流量，建議您在 Oracle Cloud VMware Solution 環境內部署第三方合作夥伴解決方案，此教學課程並未涵蓋該環境。

目標

本教學課程描述 Oracle Cloud VMware 解決方案環境中的 OCI 網路防火牆解決方案 OCI 內部 VCN 路由功能。我們涵蓋了虛擬雲端網路路由使用案例，可簡化在 OCI 上的防火牆部署作業。

必要條件

• 可根據拓樸圖表設定運作中的VCN 網路拓樸。
• Hub VCN 中的運作中 OCI 網路防火牆：
  • 您可以依照此研討會操作，熟悉 OCI 網路防火牆解決方案。
• 在專用 VCN 中部署的工作中 Oracle Cloud VMware Solution SDDC 環境，您可以依照 Oracle Cloud VMware Solution 文件進行操作。本教學課程已經部署單一主機 SDDC。
• 本教學課程將引導您將在個別子網路中部署 Linux 堡壘主機 VM 和 Windows 跳躍主機 VM，以描述 OCI 原生工作負載。這些 VM 可由代管應用程式或資料庫的任何其他 VM 取代。

注意：在生產環境中，您必須在高可用性中部署防火牆。

架構

您可以參考下列拓樸以支援此使用案例。

作業 1：設定 OCI 網路防火牆

下列各節顯示 OCI 網路防火牆的最低必要組態。如需更進階的組態，請參閱正式文件。

1. VCN 子網路和 VLAN：第一個步驟是確保您已依照「先決條件」段落中的描述建立必要的 VCN 和子網路，以支援您的使用案例拓樸。

   • 您可以瀏覽至虛擬雲端網路、虛擬雲端網路詳細資訊、資源，使用 OCI 主控台進行驗證。

     • 支援 Hub-VCN 中網路防火牆的防火牆子網路 IAD 子網路
     • Hub-VCN 中的 Public-Bastion-Subnet-IAD、JumpHost-Subnet-IAD 子網路，以支援 VM 的流量驗證功能
     • DB-Spoke-VCN-IAD VCN 中的 DB-Subnet-IAD 子網路可支援資料庫工作負載
     • 部署 Oracle Cloud VMware Solution SDDC 時，必須建立適當的子網路和 VLAN

   • 下圖顯示 Hub-VCN (防火牆 -VCN-IAD) 和關聯的子網路。

     

   • 接下來，您需要在 firewall-subnet 中部署 OCI 網路防火牆。如需更多資訊，請參考官方文件。

2. OCI 網路防火牆原則規則：請確定新增必要的防火牆安全規則以支援使用案例流量。如需如何設定規則的詳細資訊，請參考正式文件。

   

3. OCI 網路防火牆：在 Hub-VCN 中，依先決條件部署網路防火牆。當您的防火牆 VM 處於作用中之後，請使用此 VM 來保護您的流量。

   

4. VCN、子網路、VLAN 及 DRG 連附項的路由表：您需要設定路由表，以反映使用案例拓樸的正確路由規則。在高層次，您需要修改 VCN 中的路由表，如下所示：

   • 防火牆 -VCN

     • 防火牆子網路路由表：使用每個子網路 CIDR 作為目的地建立項目，並將目標建立為網際網路閘道、nat 閘道、服務閘道或 DRG。
     • 公用堡壘主機子網路路由表：建立每個子網路 CIDR 的項目作為目的地和目標作為網路防火牆 IP 位址。
     • 專用 JumpHost 子網路路由表：建立每個子網路 CIDR 的項目作為目的地，以及目標作為網路防火牆 IP 位址。
     • VCN 輸入路由表：建立每個目的地 CIDR 的項目和目標作為防火牆 IP 位址，以檢查來自 Spoke VCN 的流量。

   • Oracle Cloud VMware Solution VCN

     • 子網路 SDDC 路由表：建立每個子網路 CIDR 的項目作為目的地和目標作為 DRG。
     • vSphere VLAN 路由表：建立每個子網路 CIDR 的項目作為目的地和目標作為 DRG。
     • NSX 邊緣 Uplink 1 VLAN 路由表：建立每個子網路 CIDR 的項目作為目的地和目標作為 DRG。
     • VCN 輸入路由表：使用每個目的地建立項目覆疊 CIDR 和目標作為 NSX-EDGE-UPLINK IP 位址，以確保流量回到覆疊主機。

   • 資料庫 VCN

     • 資料庫子網路路由表：使用每個子網路 CIDR 作為目的地建立項目，並將目標設為 DRG，即可透過 OCI 網路防火牆檢查流量。

   • DRG VCNs 連附項

     • 防火牆 -VCN 連附項路由表：建立含有每個 NSX 工作負載 CIDR 的項目作為目的地，並將下一個躍點作為 Oracle Cloud VMware Solution VCN 連附項。使用符合 Oracle Cloud VMware Solution 和資料庫 VCN 的條件匯入路由分配。
     • Oracle Cloud VMware Solution-VCN 連附項路由表：使用每個子網路 CIDR 建立項目作為目的地，並將目標建立為防火牆 -VCN 連附項，以透過 OCI 網路防火牆檢查流量。
     • 資料庫連附項路由表：使用每個子網路 CIDR 作為目的地建立項目，並建立下一個躍點作為防火牆 -VCN 連附項，以透過 OCI 網路防火牆檢查流量。

注意：請確定使用路由對稱，以便正確檢查雙向的流量。

作業 2：驗證並檢查 OCI 網路防火牆的流量

此時，您可以驗證來自 JumpHost Windows VM、Bastion VM、Oracle Cloud VMware Solution SDDC 環境、NSX Overlay VM 及 DB Spoke VM 的流量，以及檢查 OCI 網路防火牆的流量。下圖顯示根據使用案例拓樸執行的必要 VM。

透過 VCN 路由 (IVR) 從 JumpBox Windows VM 到 NSX Overlay VM 的北南流量檢查

• IVR 路由功能可讓您將 VCN 內的流量及使用者定義的防火牆專用 IP 路由傳遞給這些流量。下圖顯示與確保 JumpHost Windows VM 可與 Oracle Cloud VMware Solution NSX 工作負載 VM 通訊的邏輯流量及不同路由表。

  

• 您已將必要的安全規則推送至下方，以確保透過防火牆檢查流量。

  

• 您可以從 JumpHost Windows VM (10.40.1.160) 存取 Oracle Cloud VMware Solution Workload VM (172.16.X.X)。

  

  

• 下列影像根據套用的安全規則顯示 OCI 網路防火牆的流量日誌。

  

  

透過網路閘道傳入路由，從 NSX Overlay VM 至網際網路的北向流量檢查

• IVR 路由及網路閘道輸入路由功能可讓您遞送 VCN 內的流量，並使用使用者定義的網路位址轉譯閘道路由。下圖顯示邏輯流量和不同的路由表，可用來透過 OCI 網路防火牆將 Oracle Cloud VMware Solution 工作負載 VM 的 IVR 和網路閘道傳入路由從網際網路傳送至網際網路。

  

• 您已將必要的安全規則推送至下方，以確保透過防火牆檢查流量。

  

• 您可以建立從 Oracle Cloud VMware Solution NSX Workload VM (172.16.1.5) 到網際網路 (info.cern.ch) 的連線。

  

• 下列影像根據套用的安全規則顯示 OCI 網路防火牆的流量日誌。

  

透過 VCN 路由 (IVR) 從 JumpBox Windows VM 到 vCenter 的西部流量檢查

• IVR 路由功能可讓您將 VCN 內的流量及使用者定義的防火牆專用 IP 路由傳遞給這些流量。下圖顯示與確保 JumpHost Windows VM 可連線到 Oracle Cloud VMware Solution vCenter 伺服器的邏輯流量及不同路由表：

  

• 您已將必要的安全規則推送至下方，以確保透過防火牆檢查流量。

  

• 您可以從 JumpHost Windows VM (10.40.1.160) 存取 Oracle Cloud VMware Solution vCenter 伺服器 (10.0.4.2)。

  

• 下列影像根據套用的安全規則顯示 OCI 網路防火牆的流量日誌。

  

從 DB Spoke VM 和 ESXi 主機進行西區流量檢查，反之亦然

• IVR 路由功能可讓您將 VCN 中的流量和使用者定義的防火牆專用 IP 路由傳遞至 VCN。下列映像檔顯示相關邏輯流量和不同的路由表，以確保針對安全目的，將針對 Oracle Cloud VMware Solution SDDC ESXi 主機的軸輻 VM 流量刪除。

  

• 您已將必要的安全規則推送至下方，以確保透過防火牆檢查流量。

  

• 您可以從資料庫 VM (10.50.0.118) 存取 Oracle Cloud VMware Solution ESXi 主機 (10.0.0.110)，然後根據套用的安全規則拒絕流量。

  

• 下列影像根據套用的安全規則顯示 OCI 網路防火牆的流量日誌。

  

IPS/IDS、URL 篩選、SSL 轉送代理主機及 SSL 入埠檢查流量 (從 NSX Overlay VM 透過 Inter-VCN 路由從網際網路)

• 網路防火牆主要功能為您提供下一代防火牆功能，例如使用入侵預防、入侵偵測、URL 篩選、SSL 內送檢驗等，您可以和 Oracle Cloud VMware Solution SDDC 環境一起使用。

• 下圖顯示邏輯流量和關聯的不同路由表，以確保使用 NGFW 功能：

  

• 若要進一步瞭解這些功能，請依照 OCI 網路防火牆的正式文件進行。

IPS/ID

• 下圖顯示與防火牆關聯的 IPS/IDS 安全規則。在我們的案例中，Jumpbox VM 會透過 HTTPS 下載 EICAR 惡意軟體。

  

• 您可以透過 Jumpbox VM 的網路閘道傳入路由，存取對網際網路公開的惡意軟體。流量將流經防火牆。

  

• 下列影像顯示 OCI 網路防火牆的流量日誌，並應根據 IDS 動作產生警示。

  

網址過濾

• 下圖顯示「網路防火牆」上的 URL 篩選安全規則。在我們的情況下，Oracle Cloud VMware Solution NSX Workload VM 會存取某些公用 URL，因此應予以拒絕。

  

• 下列映像檔顯示 OCI 網路防火牆的流量日誌，而且應符合正確的安全規則。

  

SSL 轉送代理主機與 SSL 輸入檢查

• 我們已建立解密規則以支援 SSL/TLS 流量，確保從 Jumpbox VM 到網際網路的 HTTPS 流量使用 SSL 轉送代理主機設定檔。

  

  

• 您可以透過 NGW 從 Jumpbox VM 存取對網際網路公開的 URL，方法是透過 SSL/HTTPS。流量將流經防火牆。

  

相關連結

• Oracle Cloud Infrastructure
• Oracle Cloud VMware Solution 概要
• Oracle Cloud 虛擬雲端網路路由
• Oracle Cloud Infrastructure 中樞和支點架構
• 使用 DRG 的 Oracle Cloud Infrastructure 傳輸中心防火牆
• Oracle 動態路由閘道文件
• OCI 網路防火牆
• OCI 網路防火牆簡介
• OCI 網路防火牆工作坊
• 深度防禦，使用 OCI 網路防火牆進行分層

致謝

作者：

• Arun Poonia (主要解決方案架構師)
• Praveen Kumar Pedda Vakkalam (主要解決方案架構師)

其他學習資源

探索 docs.oracle.com/learn 的其他實驗室，或者存取更多 Oracle Learning YouTube 頻道上的免費學習內容。此外，請瀏覽 education.oracle.com/learning-explorer 以成為 Oracle Learning 檔案總管。

如需產品文件，請造訪 Oracle Help Center 。

---

標題與版權資訊

Secure your Oracle Cloud VMware Solution workloads with Oracle Cloud Infrastructure Network Firewall

F80966-01

April 2023

Copyright © 2023, Oracle and/or its affiliates.